人工智能医疗文书系统正迅速成为现代医疗保健的数字助手。它们承诺减轻临床医生的职业倦怠、简化医疗记录流程并提升患者体验。 然而,当医疗机构与数字健康企业竞相部署AI医疗文书解决方案时,一个核心问题持续浮现:HIPAA合规风险何在?
该风险高度取决于AI解决方案的训练、部署、集成及治理方式。若贵机构正在探索或已采用AI医疗文书方案,请以本博客为指南,对风险进行压力测试。
什么是AI文书?
人工智能记录员利用机器学习模型,通过聆听(或处理录音)医患互动内容,生成结构化的临床记录。这些工具旨在无缝集成至电子健康记录系统,减少手动记录需求,使医生在诊疗过程中能更专注于患者。
在幕后,人工智能医疗文书员实时处理海量受保护健康信息(PHI),涵盖多种数据形式(如音频、文字记录、结构化电子健康记录数据等)。因此,人工智能医疗文书员将受《健康保险流通与责任法案》(HIPAA)监管。
人工智能医疗文书生成全生命周期中的HIPAA合规陷阱
以下是我们为数字健康客户、医疗系统及推出医疗记录员技术的人工智能供应商提供咨询时,所遇到的最常见HIPAA合规陷阱。
1. 在未获得适当授权的情况下,利用个人健康信息(PHI)训练人工智能
许多人工智能医疗记录员通过使用真实世界数据(包括既往诊疗记录或临床医生编辑的病历)进行"微调"或重新训练。这类数据通常包含个人健康信息(PHI)。根据《健康保险流通与责任法案》(HIPAA),若将PHI用于超出医疗保健提供者治疗、支付或医疗运营范围的目的,通常需要获得患者授权。 因此,在模型训练或产品改进等使用场景中,必须充分论证该活动属于受保护实体医疗保健提供者的医疗保健运营范畴——否则仍需获得患者授权。
风险:若人工智能供应商在未经患者授权的情况下,或以客户名义基于可辩护的治疗、支付或医疗保健运营依据,利用客户数据训练其模型,则该使用行为需被评估为潜在的《健康保险流通与责任法案》(HIPAA)违规行为。同时需考虑部署该技术可能涉及的其他同意要求,例如根据州录音法规需获得患者或提供者的录音同意。
2. 不当的业务伙伴协议(BAAs)
代表受保护实体或其他业务伙伴访问、存储或处理个人健康信息(PHI)的人工智能医疗记录供应商,几乎都属于《健康保险流通与责任法案》(HIPAA)定义的业务伙伴。然而我们发现,部分供应商合同存在以下问题:(a) 缺乏合规的业务伙伴协议(BAA);(b) 包含过度宽泛的赔偿免责条款,实质上免除了供应商责任;(c) 未明确允许的使用和披露范围,或包含HIPAA禁止的用途及披露行为 (例如允许供应商在未获适当授权或未满足HIPAA例外条款的情况下,使用PHI训练AI模型)。
提示:严格审查每份AI供应商协议。确保业务关联协议或基础服务合同明确界定:被访问、存储或处理的数据范围;数据使用方式(包括可用于训练的数据类型);以及服务交付后数据是否进行去标识化或予以保留。
3. 缺乏安全保障措施
AI医疗记录平台是攻击者的高价值目标。这些平台可能捕获实时音频、存储临床记录草稿,或通过API集成到电子健康记录系统中。若平台安全防护不足导致数据泄露,将面临监管罚款、集体诉讼及声誉损害等风险。
HIPAA要求:受保护实体及业务合作伙伴必须实施"合理且适当"的技术、管理和物理防护措施以保护个人健康信息(PHI)。受HIPAA监管的实体还需更新风险分析,将人工智能医疗记录员的使用纳入评估范围。
4. 模型幻觉与误导性输出
人工智能记录员,尤其是基于生成式模型的系统,可能出现"幻觉"或虚构临床信息的情况。更严重的是,当转录错误或患者信息匹配失误时,它们可能将信息错误归属给其他患者。这不仅是工作流程问题。 若将个人健康信息(PHI)插入错误病历或泄露给无关人员,可能构成违反《健康保险流通与责任法案》(HIPAA)及州级数据泄露法规的行为(甚至可能因错误记录影响后续诊疗而损害患者权益)。
风险管理:对所有AI生成的病历记录实施人工闭环审核。确保医护人员接受培训,在记录录入病历前确认其准确性。
5. 去识别化谬误
某些供应商宣称其人工智能解决方案"符合HIPAA规定",理由是数据已去识别化。然而,这些供应商往往未能严格遵循HIPAA法规(45 C.F.R. § 164.514)中允许的两种去识别化方法:专家判定法或安全港法。 若数据未通过上述任一方法实现完全去识别化,则该数据在HIPAA框架下仍属可识别数据。
合规核查要点:若供应商声称其系统因仅使用去识别化数据而超出HIPAA管辖范围,需重点追问:所采用的去识别化方法、重新识别风险分析的证据,以及所聘请的去识别化专家资质(如适用)。 另需注意:若供应商受托对PHI进行去识别化处理,则必须在医疗服务提供方与供应商之间签订《业务授权协议》(BAA)作为该去识别化操作的法律依据。
卫生系统与数字健康企业可行的下一步行动
对于正在评估或已实施人工智能记录员的企业,以下建议可帮助降低风险而不扼杀创新:
- 对供应商进行彻底审查
- 将治理机制融入电子健康记录工作流程
- 限制未经授权的二次使用/培训
- 更新您的风险分析
- 培训您的供应商
最终结论
人工智能医疗文书系统正在革新临床记录工作。然而,高度自动化伴随着重大责任,尤其在《健康保险流通与责任法案》(HIPAA)框架下。供应商、数字医疗公司及医疗体系必须将AI文书系统视为嵌入患者护理流程的数据管理方,而非单纯的软件工具。通过建立强有力的合同保障措施、将个人健康信息(PHI)使用严格限制在HIPAA许可范围内、并持续评估下游风险,数字医疗领导者方能拥抱创新而不招致不必要的风险。
如需了解人工智能、远程医疗、数字健康及其他医疗创新领域的更多信息(包括团队介绍、出版物及代表性案例),请联系本文作者或福里律师事务所网络安全与数据隐私团队、医疗保健业务团队的合伙人及高级顾问。
